Nordkoreas 'Famous Chollima' brugte AI-deepfakes til at få tech-jobs og stjæle 14 milliarder kroner

Den AI-drevne ansættelsesfælde

Famous Chollimas kernekompetence er både sofistikeret og urovekkende simpel: få et job. Gruppen har været aktiv siden mindst 2018 og specialiserer sig i at opnå svigagtig ansættelse som freelance- eller fastansatte, typisk som fjernarbejdende softwareudviklere .

Det, der har ændret sig for nylig, er industrialiseringen af ansættelsesfupnummeret. CrowdStrikes 2025 Threat Hunting Report beskriver et “tydeligt billede af en modstander, der i dybden fletter AI-genererede værktøjer ind, som automatiserer og optimerer arbejdsgange i hvert eneste trin af ansættelsesprocessen” .

De specifikke metoder, der er dokumenteret i CrowdStrikes rapporter, omfatter:

• AI-genereret deepfake-video og -lyd til fjerninterviews. Operatører bruger lettilgængelige AI-værktøjer, herunder OpenAIs ChatGPT og Googles Gemini, til at ændre deres stemme og video i realtid under videointerviews og til at generere overbevisende svar på tekniske spørgsmål .
• Fuldstændig fabrikerede professionelle personligheder. Angriberne opretter polerede LinkedIn-profiler med AI-genererede profilbilleder, komplet med troværdige ansættelseshistorikker og falske CV’er, der består baggrundstjek .
• Ægte, stjålne id-dokumenter. Operatører bruger stjålne amerikanske socialsikringsnumre og andre identitetsdokumenter for at forstærke illusionen af legitimitet over for baggrundstjeksystemer .

CrowdStrikes OverWatch-trusselsjagtteam undersøgte over 320 separate sager, hvor Famous Chollima-operative folk havde opnået svigagtig ansættelse, over en 12-måneders periode – en svimlende stigning på 220% i forhold til det foregående år . Succesraten for disse forklædte ansættelser steg også med 220%, og lederen af CrowdStrikes modpartsoperationer, Adam Meyers, bemærkede, at hans team nu reagerer på cirka én sådan hændelse hver eneste dag .

Hvad de er ude efter

Motivationen er en dobbelt indtægtsstrøm for det sanktionerede regime.

Den første strøm er simpel løn-tyveri. Famous Chollimas agenter indkasserer lønsedler fra de virksomheder, de infiltrerer, og kanaliserer pengene til Nordkorea. Den anden – og mere skadelige for ofrene – er tyveri af intellektuel ejendom. Når de først er inde i et netværk med legitime legitimationsoplysninger, stjæler agenterne proprietær kildekode, forretningshemmeligheder og anden følsom intellektuel ejendom .

Parallelt med IT-medarbejder-planen driver det bredere nordkoreanske cyberøkosystem en massiv operation for tyveri af kryptovaluta. CrowdStrikes Threat Landscape Report for finanssektoren i 2026 fandt, at DPRK-relaterede grupper tilsammen stjal for 14,1 milliarder kroner (2,02 milliarder USD) i digitale aktiver i løbet af 2025, en stigning på 51% i forhold til året før . Det største enkeltstående kup – for 10,2 milliarder kroner (1,46 milliarder USD) i kryptovaluta – blev tilskrevet den relaterede gruppe PRESSURE CHOLLIMA, som udrullede trojaniseret software via et kompromitteret leverandørnetværk .

Den endelige destination for disse midler er eksplicit. Stjålne milliarder bliver “næsten helt sikkert hvidvasket og vil blive brugt til at finansiere regimets militære og atomvåbenprogrammer”, fastslår rapporten for finanssektoren .

Ud over ansættelsen: Afpresning via datatyveri

Mens den offentlige rapportering om Famous Chollima lægger vægt på infiltration og tyveri, har eksfiltrering af data en anden potentiel gevinst. Bredere nordkoreanske cyberoperationer har taget en taktik i brug, der går ud på at true med at lække stjålne oplysninger, medmindre der betales en løsesum.

CrowdStrikes tidligere Global Threat Report sporede en stigning på 76% i antallet af ofre nævnt på dedikerede lækagesider, efterhånden som afpresning via datatyveri blev en foretrukken indtjeningsmetode for mange modstandere . Firmaet bemærker, at DPRK-relaterede aktører er observeret i at udføre datatyveri og afpresningskampagner uden at bruge ransomware, men i stedet lægger pres ved at true med at afsløre følsomme data .

CrowdStrike har også bekræftet, at der i sikkerhedsopgaver, der involverer Famous Chollima, blev bekræftet datatyveri i 50% af tilfældene . Disse eksfiltrerede oplysninger kunne potentielt bruges til afpresning, selvom de offentlige resuméer fokuserer mere direkte på gruppens insiderinfiltration og deres løn- og kryptotyveri-pipeline. Det er muligt, at de eksakte detaljer om Famous Chollimas afpresningsdrejebog efter opdagelse kun er tilgængelige i de fulde, uredigerede trusselsrapporter snarere end i de offentlige resuméer.

Operations omfang og raffinement repræsenterer et nyt paradigme inden for statsstøttet cyberindtrængen, der flytter truslen fra angreb på perimeteren til betroede insidere, der bliver ansat, får løn og stjæler indefra.